CONSEIL SNDGK
in Contact
← Retour aux ressources

Cybersécurité pour les PME : les 7 réflexes essentiels

Par Guillaume Knepper · 6 mai 2026 · Lecture ~6 min

En 2025, 60 % des cyberattaques au Canada ont ciblé des PME. Et parmi celles qui en sont victimes, près d'une sur cinq ne s'en remet jamais. Pourtant, la majorité de ces attaques exploitent des failles simples : un mot de passe faible, un courriel d'hameçonnage, une mise à jour oubliée.

La bonne nouvelle ? Vous n'avez pas besoin d'un département informatique de 20 personnes pour vous protéger. Voici 7 réflexes concrets que toute PME peut adopter dès aujourd'hui.

1. Activez l'authentification multifacteur (AMF) — partout

C'est le geste le plus efficace et le plus simple. L'AMF ajoute une deuxième couche de vérification lors de la connexion : en plus du mot de passe, vous confirmez votre identité via votre téléphone ou une application d'authentification.

Selon Microsoft, l'AMF bloque 99,9 % des attaques automatisées. Activez-la sur :

  • Vos courriels professionnels (Microsoft 365, Google Workspace)
  • Vos outils cloud (CRM, ERP, comptabilité en ligne)
  • Vos comptes bancaires et financiers
  • Vos réseaux sociaux d'entreprise

Action immédiate : Vérifiez dès maintenant si l'AMF est activée sur votre messagerie professionnelle.

2. Formez votre équipe à reconnaître l'hameçonnage

Le phishing reste le vecteur d'attaque numéro un. Un courriel qui semble venir de votre banque ou d'un fournisseur, avec un lien piégé — c'est tout ce qu'il faut pour compromettre votre réseau.

Les signaux d'alerte à enseigner :

  • Urgence artificielle — « Votre compte sera suspendu dans 24h »
  • Adresse d'expéditeur suspecte — vérifier le domaine réel, pas seulement le nom affiché
  • Liens douteux — survoler le lien avant de cliquer pour voir l'URL réelle
  • Pièces jointes inattendues — surtout les fichiers .zip, .exe ou documents demandant d'activer les macros
  • Fautes et formulations inhabituelles — même si l'IA rend les tentatives de plus en plus crédibles

Action immédiate : Envoyez un courriel interne à votre équipe avec ces 5 signaux d'alerte.

3. Mettez à jour vos logiciels — sans exception

Les mises à jour corrigent des failles de sécurité connues que les attaquants exploitent activement. Un système non mis à jour est une porte ouverte.

Ce qui doit être mis à jour régulièrement :

  • Système d'exploitation — Windows, macOS, Linux
  • Navigateurs web — Chrome, Firefox, Edge
  • Applications métiers — ERP, CRM, logiciels de comptabilité
  • Firmware des équipements — routeurs, pare-feu, imprimantes réseau

Action immédiate : Activez les mises à jour automatiques sur tous les postes de travail.

4. Sauvegardez vos données selon la règle 3-2-1

Les rançongiciels chiffrent vos données et exigent un paiement. La meilleure défense ? Des sauvegardes fiables.

La règle 3-2-1 :

  • 3 copies de vos données (l'originale + 2 sauvegardes)
  • 2 supports différents (ex. : disque local + cloud)
  • 1 copie hors site (déconnectée du réseau principal)

Le point critique : testez régulièrement vos restaurations. Une sauvegarde qui ne fonctionne pas au moment critique ne vaut rien.

Action immédiate : Vérifiez quand remonte votre dernière sauvegarde.

5. Limitez les accès au strict nécessaire

Chaque employé ne devrait avoir accès qu'aux systèmes et données dont il a besoin — rien de plus. C'est le principe du moindre privilège.

  • Ne donnez pas les droits administrateurs à tout le monde
  • Désactivez immédiatement les comptes des employés qui quittent l'entreprise
  • Séparez les comptes personnels et professionnels
  • Révisez les permissions d'accès au moins une fois par trimestre

Action immédiate : Faites la liste de tous les comptes actifs. Combien appartiennent à des personnes qui ne travaillent plus chez vous ?

6. Sécurisez votre réseau Wi-Fi et vos accès distants

Le réseau Wi-Fi de votre bureau est un point d'entrée souvent négligé. Avec le télétravail, les accès distants multiplient la surface d'attaque.

  • Changez le mot de passe par défaut de votre routeur
  • Utilisez le chiffrement WPA3 (ou WPA2 au minimum)
  • Créez un réseau invité séparé pour les visiteurs et appareils personnels
  • Utilisez un VPN pour les connexions à distance
  • Désactivez l'accès à distance sur les services qui n'en ont pas besoin

Action immédiate : Vérifiez le mot de passe de votre routeur. S'il est encore celui d'usine, changez-le immédiatement.

7. Préparez un plan de réponse aux incidents

La question n'est pas si vous serez ciblé, mais quand. Un plan de réponse simple mais documenté fait toute la différence.

Votre plan devrait répondre à ces questions :

  • Qui contacter en premier ? — Responsable TI, fournisseur, assureur cyber
  • Comment isoler la menace ? — Déconnecter le poste du réseau, ne pas éteindre (préserver les preuves)
  • Comment communiquer ? — Modèle de communication prêt à l'emploi
  • Où sont les sauvegardes ? — Procédure de restauration documentée
  • Quelles obligations légales ? — La Loi 25 impose de signaler les incidents impliquant des renseignements personnels à la Commission d'accès à l'information du Québec

Action immédiate : Rédigez un document d'une page avec les noms, numéros et étapes à suivre en cas d'incident.

La cybersécurité, c'est un réflexe, pas un projet

Aucune de ces mesures n'est complexe ou coûteuse. La plupart sont gratuites. Mais elles exigent de la constance et de la discipline. La cybersécurité n'est pas un projet ponctuel — c'est un ensemble de réflexes qui doivent devenir partie intégrante de la culture de votre entreprise.

Chez CONSEIL SNDGK, nous intégrons systématiquement la dimension sécurité dans nos réflexions lors de nos mandats de transformation numérique. Parce qu'un système automatisé ou connecté qui n'est pas sécurisé est un système vulnérable.

Parlons de votre projet Nos services